Вірус, шифрує файли на диску користувача, є на сьогоднішній день найбільш проблематичним шкідливим програмним забезпеченням. Деякі різновиди подібних вірусів, досить легко ідентифікуються антивірусними програмами та файли розшифровуються, але деякі, захищені настільки серйозно, що перед вами реально постає вибір, або перевстановити систему і втратити всі дані або заплатити зловмисникам і сподіватися на те що кіберзлочинці виявляться «порядними» і ви отримаєте дешифратор. Є кілька модифікацій вірусу, але загальна суть злому зводиться до того, що після установки на комп'ютер ваші файли документів, зображень і інші, потенційно є для вас важливими, шифруються зі зміною розширення, після чого ви отримуєте повідомлення про те, що всі ваші файли були зашифровані. Для їх розшифровки вам потрібно відправити певну суму зловмисникові.
Зашифровані файли з розширенням - .xtbl
Один з варіантів вірусу-здирника шифрує файли, замінюючи їх на файли з розширенням .xtbl і ім'ям, що складається з випадкового набору символів.
Разом з вірусом на комп'ютері розміщується текстовий файл readme.txt з приблизно таким змістом:
Ваші файли були зашифровані.
Ваші файли були зашифровані. Щоб розшифрувати їх, Вам необхідно відправити код: a4025fc38188.jpg на електронну адресу [email protected] або [email protected]. Далі ви отримаєте всі необхідні інструкції. Спроби розшифрувати самостійно не приведуть ні до чого, крім безповоротної втрати інформації.
Адреси електронної пошти і текст можуть відрізнятися. Іноді замість текстового повідомлення може запускатися банер, що спливає поверх інших вікон.
На жаль, робочого способу розшифрувати зашифровані файли з розширенням .xtbl на даний момент немає, як тільки він з'явиться, інформація буде оновлена. Деякі користувачі, у яких на комп'ютері перебувала дійсно важлива інформація, повідомляють на антивірусних форумах, що довелося відправити авторам вірусу необхідну суму і отримали дешифратор, проте це дуже ризиковано: ви можете нічого не отримати.
Що робити, якщо файли були зашифровані?
Перш ніж зробити будь-які дії, в першу чергу необхідно засвоїти то що робити не варто і навіть небезпечно!
1 - лікувати і видаляти знайдені антивірусом віруси в автоматичному режимі або самостійно.
2 - заново операційну систему;
3 - міняти розширення у зашифрованих файлів;
4 - очищати папки з тимчасовими файлами, а також історію браузера;
5 - використовувати самостійно без консультації з вірусними аналітиками дешифратори;
6 - використовувати дешифратори рекомендовані в інших ситуаціях з аналогічною проблемою.
У загальному і цілому рекомендації фахівців виглядають наступним чином:
Головне завдання при шифруванні - збереження даних. Жоден енкодер не здатний зашифрувати всі дані миттєво, тому до закінчення шифрування частина файлів залишається незайманою вірусом. Відповідно чим більше часу пройшло з початку шифрування, тим менше незайманих даних залишається. Тому необхідно негайно припинити роботу енкодера. Найнадійніший спосіб, це повністю знеструмити систему, шляхом відключення комп'ютера від харчування. Ноутбук, шляхом тривалого натискання на кнопку включення. Можна, звичайно почати аналізувати список процесів в диспетчері завдань, шукати в них троян, намагатися його завершити ... Повірте, екстрене відключення живлення це набагато швидше і надійніше! Звичайне завершення роботи Windows, непогана ідея, але це може зайняти час або троян може цьому перешкоджати. Тому рекомендуємо примусове відключення. Безсумнівно, у цієї дії є свої мінуси: пошкодження файлової системи і неможливість подальшого зняття дампа ОЗУ. Пошкоджена файлова система для звичайного користувача проблема серйозніше, ніж енкодер. Наприклад, пошкодження таблиці розділів призведе до неможливості завантаження операційної системи.
Наступне завдання - збереження події злому для подальшого вивчення. Чому це так важливо? Будь-яка робота з розшифрування файлів починається з того, що фахівці намагаються зрозуміти, що сталося, отримати повну картину події. В ідеалі потрібні всі файли, які запускалися в процесі шифрування. Їх аналіз дозволяє зрозуміти, як відбувалося шифрування, залишав чи троян артефакти, які дозволять спростити розшифровку. Ідеальний спосіб - вимкнути живлення і не завантажувати операційну систему, в якій був запущений енкодер. Для доступу до даних з диска потрібно використовувати LiveCD з будь-якої версією Linux . Можна також підключити диск до іншого ПК, але в цьому випадку є ризик запуску енкодера в новій системі або ж зміни файлів на ураженому диску. Тому найкращий варіант LiveCD. На цьому етапі фахівці матимуть, комп'ютер, який був знеструмлений відразу після виявлення шифрування і ні разу не включався.
На жаль на практиці такого майже не буває. Швидше за все, у вашому випадку шифрування вже завершилося.
Як працювати з ураженої вірусом шифрувальником операційною системою? Не панікувати! Необдумані дії після шифрування можуть призвести до великих проблем, ніж саме шифрування. Найгірше вже сталося і потрібно спокійно вирішувати проблему. Не чистіть, не видаляти, операційну систему НЕ переустаналівать. Для розшифровки величезне значення може мати непримітний файл на 32 байта, де небудь в тимчасовому каталозі або невідомий ярлик на робочому столі. Чистка реєстру в даному випадку, неприйнятна процедура, деякі енкодери залишають там важливі для розшифровки сліди роботи. Антивіруси знайдуть енкодер. І з легкістю його видалять, але що тоді залишиться для аналізу? Як фахівець зрозуміє, чим шифрувалися файли?
Залиште розшифровку фахівцям - професіоналам. Якщо ви вважаєте себе таким, ви розумієте що таке RC4, AES, RSA, яке між ними відмінність, ви знаєте що таке Hiew і що означає 0xDEADC0DE, можете спробувати. Всім іншим користувачам категорично не радимо.
Практика така, що - то можна розшифрувати майже відразу. Що - то буде чекати своєї черги, може місяці, а може бути і роки. За деякі випадки не беруться навіть досвідчені фахівці. До кого звертатися - вирішувати звичайно ж вам. В кінці публікації ви знайдете масу посилань на ресурси по цій темі.
В авангарді пошуку рішень проблем вірусів шифрувальників є Kaspersky Lab. Можна так само відправити приклад зашифрованого файлу і необхідний код на [email protected] , Якщо у вас є копія цього ж файлу в НЕ зашифрованому вигляді, надішліть її теж. Теоретично, це може прискорити появу дешифратора. Якщо у вас є ліцензія антивіруса Dr.Web ви можете скористатися безкоштовною розшифровкою від цієї компанії на сторінці -
Деякі варіанти вірусу-шифрувальника:
Рідше, але також зустрічаються такі трояни, шифрувальні файли і вимагають гроші за розшифровку. За наведеними посиланнями є не тільки утиліти для повернення ваших файлів, але і опис ознак, які допоможуть визначити, що у вас саме цей вірус.
Trojan-Ransom.Win32.Rector - безкоштовна утиліта для розшифровки і керівництво по використанню.
Trojan-Ransom.Win32.Xorist - аналогічний троян, що виводить вікно з вимогою відправити платну смс або зв'язатися по електронній пошті для отримання інструкції по розшифровці. Інструкція по відновленню зашифрованих файлів і утиліта.
Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утиліта.
Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 і інші з таким же ім'ям (при пошуку через антивірус Dr.Web або утиліту Cure It) і різними номерами - спробуйте пошук в інтернеті по імені трояна. Для частини з них є утиліти дешифрування від Dr.Web, так само, якщо вам не вдалося знайти утиліту, але є ліцензія Dr.Web, ви можете оформити запит до служби технічної підтримки «Доктор Веб» офіційній сторінці .
CryptoLocker - для розшифровки файлів після роботи CryptoLocker, ви можете використовувати сайт - після відправки прикладу файлу, ви отримаєте ключ і утиліту для відновлення ваших файлів.
Чому це так важливо?
Як працювати з ураженої вірусом шифрувальником операційною системою?
І з легкістю його видалять, але що тоді залишиться для аналізу?
Як фахівець зрозуміє, чим шифрувалися файли?